套了 cdn,打算 drop 所有除了 cdn 以外的 80/443 访问,会不会对系统资源消耗过大?
1
smileawei 2019-02-08 15:43:31 +08:00 via iPhone 1
源站前套一个 nginx 然后把 CDN 的回源服务商 ip 加到白名单,何必用 iptables 做。
|
2
alvin666 OP @smileawei 我已经这样做了,但是躲不住扫全网 ipv4 443 抓证书,censys 和 myssl 都能查到这样的站的源 ip
所以要用 iptables drop 所有除了 cdn 的链接。 |
3
mason961125 2019-02-08 16:18:21 +08:00 1
iptables 就是在 netfilter 里加规则,netfilter 是内核自己带的,就看你规则怎么写了。
|
4
alvin666 OP @mason961125 规则打算就是 443 端口 whitelist cdn 的 ip,其余的 drop,会消耗 cpu 很多吗
|
5
mason961125 2019-02-08 16:21:13 +08:00 1
@alvin666 #4 不会啊,规则不匹配就直接 drop 了哪来的消耗呢。
|
6
des 2019-02-08 16:49:44 +08:00 via Android
|
7
alvin666 OP @des 我也做了...
但是还是感觉不太放心,如果我是攻击者,源 ip 被我从其他地方知道了(如 xss )我在 hosts 里面设置域名指向源 ip,然后访问,也能抓到包含域名的证书 所以要么源站 http 要么 iptables drop cdn 以外的 ip |
8
mgcnrx11 2019-02-08 17:20:28 +08:00 via iPhone 1
感觉 netfilter 比 ng 效率高才对嘛,毕竟在内核就过滤了啊
|
10
uyhyygyug1234 2019-02-08 17:35:25 +08:00 3
https://blog.cloudflare.com/how-to-drop-10-million-packets/
楼主可以看下 cloudflare,iptables 比应用上丢强点,但是它上了 eXpress Data Path, 每秒能丢 10M 个包。 iptables DROP in PREROUTING 是 1.688mpps。 |
11
alvin666 OP @uyhyygyug1234 谢谢,一会有空我看看
我套的就是 cf 2333 |
12
ForgotFun 2019-02-09 01:53:16 +08:00
可以用 ipset 配合 iptables,效率会更高点。
|
13
watzds 2019-02-09 10:29:20 +08:00 via Android
你试试不就知道了,用工具生成流量
应该是没问题的 |